火狐2.0.0.12安全更新修复7漏洞和3关键补丁 (内存腐败, JavaScript引擎崩溃 ) 。
已知弱点在Mozilla产品(火狐2.0.0.11 )
- 金融事务局2008-11
伪造网站与区覆盖重叠
说明
安全研究人员埃米尔Ljungdahl和拉尔斯-奥洛夫帕Moilanen表明,如果整个内容的网页是在一个封闭的<div>绝对定位,伪造网页警告对话框不会显示,除非用户交换机的标签以外,从然后返回伪造网页。
参考文献
- 2008-2010年金融事务局
网址令牌通过样式偷重定向
说明
安全研究员马丁Straka报告说, 基于Gecko的浏览器更新。 href财产样式的DOM节点,以反映最终的URI样式的后任何302重定向(相当于document.location财产的更新) 。 这不同于其他的浏览器,并有可能揭示敏感的参数,如所用的单登录sytems ,以文字在网页上。
参考文献
- 金融事务局2008-09
处理不当的地方保存纯文本文件
说明
Mozilla的贡献者oo.rio.oo表明,一旦一个文件, 内容配置:依恋和(不当) 内容类型:平原/文字保存在当地,浏览器将不再开放当地的档案。文本扩展观看,但会而提示用户保存文件。
参考文献
- 金融事务局2008-08
文件对话框篡改行动
说明
安全研究人员Michal 扎莱夫斯基表明,计时器启用安全对话可以破坏攻击者利用JavaScript来改变窗口的重点。 扎莱夫斯基表明,一个用户可能被诱骗到证实了安全对话这种类型的对话将集中到前一个用户点击一个可预见的时间和地点。
参考文献
- 金融事务局2008-06
Web浏览器的历史和前瞻性导航偷窃
说明
Mozilla的贡献者大卫方坯报告中的一个安全漏洞的方式处理图像时由浏览器的用户留下了网页,其中利用designMode框架。 报告的问题都可以用来窃取用户的航海史上,前瞻性的导航信息,和系统崩溃用户的浏览器。 飞机坠毁的证据显示,腐败和记忆可能会利用运行任意代码。
参考文献
- 金融事务局2008-05
通过目录遍历铬:网址
说明
格里Eisenhaur铬报告:计划不当的URI目录遍历允许可以用来加载JavaScript ,图片和样式从本地文件在已知的地点。 这是可能的遍历只有当浏览器安装了插件使用“平面”的包装,而不是更受欢迎。罐包装,攻击者需要针对特定的插件。
Mozilla基金会研究员moz_bug_r_a4报告说,这个安全漏洞可能被用来窃取的内容浏览器的sessionstore.js文件,其中载有会话cookie数据和资料,对当前打开的网页中。
参考文献
- 金融事务局2008-04
储存的密码腐败
说明
Mozilla的开发者贾斯汀Dolske发现恶意网站时,用户节省他或她的密码,可以注入换行符到Firefox的密码存储和腐败保存的密码,其他网站。
参考文献
- 金融事务局2008-03
特权升级, XSS错误,远程代码执行
说明
Mozilla的贡献者moz_bug_r_a4 和鲍里斯Zbarsky提交了一系列的漏洞,使脚本的网页内容,以摆脱其sandboxed背景和/或运行铬特权。 另外一个漏洞moz_bug_r_a4报告表明, XMLDocument.load ( )函数可用于脚本注入到另一地点,违反了浏览器的同一原产地的政策。
参考文献
- 金融事务局2008-02
多文件输入重点盗窃漏洞
说明
安全研究人员和格里高利红弗莱舍每个报告的一个变种早先报告的错误就重点转向档案输入控制。 及其变种使用档案输入控制嵌套在<label>标签,以充分利用自动对焦转移到文件输入字段指出的黑客网页。 正如此前报道的问题这个问题可以用来强制用户上传任意文件假设黑客知道完整的路径和文件名。
这些漏洞变化问题上较早报道查尔斯McAuley和米哈尔扎莱夫斯基被固定在火狐2.0.0.4版 ,以及作为一个问题报告的红这是固定在 Firefox 2.0.0.8 。
格雷戈里弗莱舍还提出了一系列示威游行不同的方式来吸引用户的地方集中到文件输入控制手动。 这些示威列入“重点欺骗”选择性捕获击键并把被俘的字符,用户认为应把重点放在。参考文献
- 金融事务局2008-01
崩溃的证据的内存腐败(病毒: 1.8.1.12 )
说明
Mozilla的开发人员确定和固定的几个稳定的漏洞在浏览器中使用的引擎在Firefox 2.0.0.12和其他基于Mozilla的产品。 其中的一些证据表明崩溃的内存腐败在某些情况下,我们假定有足够的努力,至少其中一些可能被利用来运行任意代码。
雷鸟股票的浏览器引擎, Firefox和可能遭受的JavaScript ,如果要启用邮件。 这不是默认设置,我们强烈劝阻用户运行邮件中的JavaScript 。 如果进一步的调查,我们不能排除这种可能性,对于其中的一些攻击者可以编写存储剥削通过某种手段以外的JavaScript如大型图片。
参考文献
雷鸟安全释放
雷鸟的2.0.0.12时间表将公布2月28日。
外部链接
- 08年二月八日在下午3时45分
- 08年二月八日在下午5点09
- 0.3
- 网址
一对“ 安全的Firefox 2.0.0.12版 ”
[...]检视原始位置:安全的Firefox 2.0.0.12版[...]